Contenu connexe
Similaire à アイデンティティ プロバイダーとの連携手法 Tsmatsuz
Similaire à アイデンティティ プロバイダーとの連携手法 Tsmatsuz (20)
Plus de Tusyoshi Matsuzaki
Plus de Tusyoshi Matsuzaki (6)
アイデンティティ プロバイダーとの連携手法 Tsmatsuz
- 4. 4
Microsoft Architect Forum 2013
Domain-based IdM から Federation Model へ
Web 標準がベース
もはや事実上のデファクトへ
(Google, Facebook, twitter, mixi 等)
ただし、すべてが解決された
わけではない !
(今後も進化 . . .)
多数のコピー,
使いまわし
クレームベースのフェデレーション
IdP(CP) SP(RP)
CLAIMS
認証 認可
- 9. 9
開発者にとっての
Windows Azure AD – Access Control
STS によるアイデンティティ系処理分割 (モジュール化)
開発時のメリット
アプリケーションは、単一
のプロトコル (WS-Fed)
とセキュリティ・フォーマッ
ト(RP ごとに選択可能) のみ
を意識すれば良い
IdPの変更 (追加など) に再
コンパイルは不要
WS-Fed (AD FS 2.0 -) にも
対応可能
クレームも変換 (特定 IdP
に依存したコードを排除)
- 10. 10
WS-Fed, WS-Trust の開発用に
Windows Identity Foundation (WIF) を提供
DotNetOpenAuth に対し、WS-Fed, WS-Trust のプロトコル・
ライブラリー的性格
MS は、従来、これらのプロトコルに投資 (AD FS, ACS, など)
.Net 4.5 で標準ライブラリーへ組み込み
SSO 開発については、Non-Programming で利用可能
(Identity and Access Tool による構成ファイルへの反映)
セキュリティ・フォーマットは、SAML Assertion に対応。
JWT を使用する場合は、別途のライブラリーを取得
今後は、Server-to-server 認証 (OAuth2) のライブラリーとし
ても拡張 (現在、拡張ライブラリーとして別途提供)
SharePoint 2013 用アプリ開発テンプレートでは、既に使用
- 11. 11
シナリオ・ベースのヘルパー・ライブラリー
Windows Azure Authentication Library (AAL)
シナリオ・ベースの各種認証処理をヘルプ
(Not a protocol library !)
インタラクティブ UI によるトークン取得、User Credential 連携、
など
Server-to-server 認証
(OAuth2) は、将来 WIF へ分離予定
特に、リッチ・クライアント
(Non-Web クライアント) を対象
AAD (ACS, Directory 双方) 用
現在、Beta 版
- 12. 12
Windows Azure AD – ディレクトリ (Directory)
の開発者向けトピック
SSO は「Microsoft ASP.NET Tools for Windows Azure Active
Directory – Visual Studio 2012」を使用すると便利
本ツールを使用すると、RP のサーバー側の Provisioning を自動化
Identity and Access Tool でも SSO 可能
Windows Azure AD Graph
LOB アプリ (ユーザー一覧の表示、など)
管理アプリ (追加・変更・削除、同期機能、など)
マルチテナント対応サービス構築など、応用的な開発にも対応
ただし、高度なスキル (ISV 向けエンドポイントの利用など) とセット
アップ (Windows Azure Marketplace への製品登録) が必要
- 13. 13
近藤 学(Ping Identity, Japan)
アイデンティティ連携開発の実例
~ 仕組みを知れば、ここまでできる ! ~